2009九月16
在ASP编程中,身份认证的作用
在ASP编程中,身份认证可以说是常要用到的。但怎么样才能做到认证的安全呢?
举例:
表单提交页面:sub.htm
管理员登陆 风越ASP代码生成器
管理员:
密 码:
SUB.asp程序
大家感觉以上代码应该没问题啊,但是这里有一个严重的安全隐患:
我如果想登录管理员的话可以在SUb.htm表单输入框中输入:
第一个文本框中输入:a or 1=1 或 or =
第二个文本框中输入:a or 1=1 或 or =
提交,大家会看到...“呜,听我说完好不好,砖头一会再丢过来..."
"a " 和“1”为任意字符
有人会问为什么你输入这些字符会以管理员身份进入呢??
其实这些字符是对你程序中SQL语言的欺骗,而成功进入的
大家看:开始程序SQL中是对表进行查询满足user="
文章作者:suibing
本文地址:http://www.suibing.com/109.html
版权所有 © 转载时必须以链接形式注明作者和原始出处!
